Jusletter IT

Data Loss Prevention-Systeme im Spannungsfeld zwischen Risikovorsorge, Sicherheitsmassnahme und Datenschutz

  • Autoren/Autorinnen: Isabell Conrad / Dominik Hausen
  • Kategorie: Kurzbeiträge
  • Region: Deutschland
  • Rechtsgebiete: IT-Sicherheit
  • Sammlung: Tagungsband IRIS 2011
  • Zitiervorschlag: Isabell Conrad / Dominik Hausen, Data Loss Prevention-Systeme im Spannungsfeld zwischen Risikovorsorge, Sicherheitsmassnahme und Datenschutz, in: Jusletter IT 24. Februar 2011
Data Loss Prevention-Systeme versprechen die für Unternehmen durch ungewollten Datenabfluss entstehenden Geschäftsrisiken zu minimieren. Spätestens seit für Steuersünder-CDs Millionen bezahlt werden, steht der Schutz vor Bedrohungen von innen, die durch kriminelle Absicht oder unwissentlich durch Irrtum und Nachlässigkeit von Mitarbeitern verursacht werden, ganz oben auf der Agenda von IT-Verantwortlichen. Die (Echtzeit-)Überwachung des unternehmensinternen Datenverkehrs ist aber arbeits- und datenschutzrechtlich nicht unproblematisch, ein Ausgleich des berechtigten Sicherheitsinteresses des Arbeitgebers mit den Persönlichkeitsrechten der Arbeitnehmer eine Herausforderung.

Inhaltsverzeichnis

  • 1. Einleitung
  • 2. Funktionsweise von Data Loss Prevention-Systemen
  • 2.1. Unterscheidung zwischen erlaubter und unerlaubter Datenverwendung
  • 2.2. Absicherung von Endgeräten und Netzwerkübergängen
  • 2.3. Kernfunktionalitäten von DLP-Systemen
  • 3. Vereinbarkeit mit Datenschutzprinzipien
  • 3.1. Vorrang restriktiver Zugangs- und Zugriffsberechtigungskonzepte
  • 3.1.1. Risiken von sog. «Open Security»-Modellen
  • 3.1.2. Erforderlichkeitsgrundsatz
  • 3.1.3. Datenvermeidung und Datensparsamkeit
  • 3.2. Keine Datenerhebung ohne Kenntnis des Beschäftigten?
  • 3.2.1. Beurteilung nach § 4 Abs. 2 BDSG
  • 3.2.2. Verschärfung durch Regierungsentwurf zur Neuregelung des Beschäftigtendatenschutzes?
  • 3.3. Verbot automatisierter Einzelentscheidungen
  • 3.4. Fernmeldegeheimnis und TKG-/TMG-Datenschutz
  • 3.4.1. Zulässigkeit von DLP bei erlaubter privater E-Mail-/Internetnutzung von Beschäftigten?
  • 3.4.2. Beurteilung nach § 32i BDSG-E
  • 3.5. Aufdeckung von Straftaten am Arbeitsplatz
  • 3.5.1. Beurteilung nach § 32 BDSG 2009
  • 3.5.2. Beurteilung nach § 32d Abs. 3 und § 32e BDSG-E
  • 3.6. Konzerninterne Datenübermittlung durch zentrales DLP
  • 3.6.1. Beurteilung gemäß § 32 und § 11 BDSG
  • 3.6.2. Parallelen zu Whistleblowing-Hotlines
  • 3.6.3. Konzerndatenübermittlung im Regierungsentwurf nicht geregelt
  • 3.7. Betroffenenrechte (Benachrichtigung, Auskunft u. ä.)
  • 3.8. Einwilligung, Betriebsvereinbarung
  • 3.8.1. Beurteilung nach BDSG de lege lata
  • 3.8.2. Änderungen durch den Regierungsentwurf
  • 4. Empfehlungen für einen datenschutzkonformen DLP-Einsatz
  • 5. Zusammenfassung
  • 6. Literatur

0 Kommentare

Es gibt noch keine Kommentare

Ihr Kommentar zu diesem Beitrag

AbonnentInnen dieser Zeitschrift können sich an der Diskussion beteiligen. Bitte loggen Sie sich ein, um Kommentare verfassen zu können.